インジェクション GNU GPL/CODE1
Published: 2009/12/24
最近流行っているインジェクションされているコードにGNU GPLやCODE1という文字列がコメントとして含まれていることが特徴のインジェクションについてです。
年末年始は対応が遅れがちで改竄された状態が残り続けてしまうのは危険ですね。
たとえばこんな難読化コードがインジェクションされています。
単純な難読化なので、例えばこのようなURLが抽出できます。実際には自動的にここにアクセスさせられます。
このURLに使われる文字列が特徴ですね。
ocn.ne.jp google.com
などの一般サイト、有名サイトのドメイン文字列が利用されています。ocn.ne.jpがgoogle等と並び利用されている。。。。。
このURLにアクセスするとこのようなコードが仕込まれています。
これも単純な難読化なので簡単に解読できます。実際にはこのようなURLへアクセスに行かされます。
8080系ですね。
;HOMESALEPLUS.RU. IN A ;; ANSWER SECTION: HOMESALEPLUS.RU. 432 IN A 95.211.4.193 HOMESALEPLUS.RU. 432 IN A 95.211.10.130 HOMESALEPLUS.RU. 432 IN A 82.192.88.35 HOMESALEPLUS.RU. 432 IN A 94.23.4.164 HOMESALEPLUS.RU. 432 IN A 94.23.14.110 ;; AUTHORITY SECTION: HOMESALEPLUS.RU. 432 IN NS ns2.HOMESALEPLUS.RU. HOMESALEPLUS.RU. 432 IN NS ns4.HOMESALEPLUS.RU. HOMESALEPLUS.RU. 432 IN NS ns1.HOMESALEPLUS.RU. HOMESALEPLUS.RU. 432 IN NS ns3.HOMESALEPLUS.RU. ;; ADDITIONAL SECTION: ns1.HOMESALEPLUS.RU. 432 IN A 216.155.130.212 ns2.HOMESALEPLUS.RU. 432 IN A 193.231.3.7 ns3.HOMESALEPLUS.RU. 432 IN A 64.186.131.38 ns4.HOMESALEPLUS.RU. 432 IN A 72.249.191.123
domain: HOMESALEPLUS.RU type: CORPORATE nserver: ns1.hostserverdirect.com. nserver: ns2.hostserverdirect.com. nserver: ns3.hostserverdirect.com. nserver: ns4.hostserverdirect.com. state: REGISTERED, DELEGATED, VERIFIED person: Private Person registrar: NAUNET-REG-RIPN created: 2009.11.22 paid-till: 2010.11.22 source: TCI
by jyake